У меня вопрос по поводу записей SPF в среде выделенного хостинга. Я хочу настроить запись SPF для своего выделенного сервера, но не уверен, правильно ли я понимаю.
Первый вопрос: нужно ли мне настраивать запись SPF ТОЛЬКО для домена, содержащего записи NS и PTR, или мне нужно настраивать ее для каждого домена на сервере?
Если мне нужно настроить его только для домена NS, можно ли настроить его для каждого домена, чтобы переопределить домен NS?
Кроме того, если это только для домена NS, как я могу гарантировать, что у моих клиентов с удаленными SMTP-серверами нет проблем с отправкой писем? т.е. Google Apps или внешние записи MX.
например: Мой домен NS - example.com, а один из моих клиентов - helloworld.com Требуется ли мне установить запись SPF на helloworld.com, example.com или на обоих? Повлияет ли запись SPF на example.com на helloworld.com, если я не помещу запись SPF на helloworld.com?
(Ответ отредактирован с учетом правок на вопрос.)
Это зависит. Записи SPF должны применяться к конверт From, не заголовок From:. Если ваш сервер использует SRS, все должно быть в порядке; конверт From будет переписан на example.com, и ваша запись SPF покроет это. В противном случае это будет зависеть от того, какие их MUA (и / или внутренние почтовые серверы) устанавливают конверт. From быть; если это helloworld.com, то да, их запись SPF (если она существует) должна разрешить отправку вашей инфраструктурой.
Тем не менее, если они являются вашими клиентами, они не причинят вреда, включая вас в свои записи SPF, что они могут сделать с помощью простого include:. Лучше перестраховаться, чем сожалеть, и не забывайте следить за лимитом DNS-запросов.
Что касается последней части вашего вопроса, вам, вероятно, следует прочитать наш канонический вопрос по настройке SPF записей.
SPF необходимо настроить для каждого домена. Хотя вы можете использовать подстановочные знаки, это эффективно создает все возможные поддомены, соответствующие подстановочному знаку. Использование подстановочных знаков возникает редко. SPF не распространяется на PTR записи, и ваш NS домены обычно не должны отправлять электронную почту.
Если вы хотите защитить домены, которые не должны отправлять электронную почту, от использования для рассылки спама, используйте запись SPF, например v=spf1 -all. Я бы порекомендовал сделать это, но многие домены не имеют этого покрытия. (Я видел, как многие из них отклонялись моим спам-фильтром.) Это должно включать веб-домены, которые предпочитают некоторые спамеры.
Домен, указанный в конверте из адреса, From:, Sender:, и аналогичные заголовки должны иметь запись SPF, например v=spf1 a mx -all. Это вызовет проблемы для отправителей, использующих другие SMTP-серверы для отправки электронной почты из вашего домена. SPF будет применен к конверту с адреса, который в большинстве случаев должен соответствовать одному из заголовков адреса отправителя.
Если вы хотите разрешить другим SMTP-серверам отправлять сообщения от имени вашего домена, вы можете использовать include механизм. Существуют ограничения на количество применяемых поисков домена, поэтому глубокая вложенность с такими механизмами, как A или MX может вызвать сбой проверки до того, как все механизмы будут завершены. Вы также можете импортировать ~all механизм, который значительно нарушит цель использования SPF.
Настройка вашего SMTP-сервера для приема аутентифицированных подключений от ваших пользователей через порт Submisssion (587) позволит им использовать ваш почтовый сервер для отправки электронной почты. Порт отправки должен быть настроен для включения StartTLS. Для аутентификации должен требоваться TLS.
На вашем SMTP-сервере должна быть запись SPF, позволяющая отправлять электронную почту. Запись вроде v=spf1 a -all было бы уместно.
Рассмотрите возможность взглянуть на DMARC что позволит вам опубликовать политику в отношении того, как следует обрабатывать SPF и DKIM электронной почты. Вы также можете получать отзывы о том, насколько ваш домен соответствует вашим политикам. Это может включать признаки того, что ваш домен используется для рассылки спама.